Fecha de lanzamiento:
13 de octubre de 2020
Versión:
.NET Framework 3.5 y 4.8
Resumen
Existe una vulnerabilidad de divulgación de información cuando .NET Framework controla de manera incorrecta los objetos en la memoria. Un atacante que aprovechara esta vulnerabilidad podría divulgar el contenido de la memoria de un sistema afectado. Para aprovechar esta vulnerabilidad, un atacante tendría que ejecutar una aplicación especialmente diseñada. La actualización resuelve la vulnerabilidad al corregir cómo .NET Framework controla los objetos en la memoria.
Para obtener más información sobre las vulnerabilidades, consulte las siguientes vulnerabilidades y exposiciones comunes (CVE).
Problemas conocidos en esta actualización
ASP.Net aplicaciones durante la precompilación con un mensaje de error
Síntomas
Después de aplicar este paquete acumulativo de actualizaciones de calidad y seguridad del 13 de octubre de 2020 para .NET Framework 4.8, algunas aplicaciones ASP.Net error durante la precompilación. El mensaje de error que reciba probablemente contendrá las palabras "Error ASPCONFIG".
Causa
Un estado de configuración no válido en las secciones "sessionState", "anonymouseIdentification" o "authentication/forms" de la configuración "System.web". Esto puede ocurrir durante las rutinas de compilación y publicación si las transformaciones de configuración dejan el archivo Web.config en un estado intermedio para la precompilación.
Solución alternativa
Este problema se ha resuelto en KB4601055.
ASP.Net aplicaciones no pueden entregar tokens sin cookies en el URI
Síntomas
Después de aplicar este paquete acumulativo de actualizaciones de calidad y seguridad del 1 de octubre de 2020 para .NET Framework 4.8, es posible que algunas aplicaciones de ASP.Net no entreguen tokens sin cookies en el URI, lo que puede provocar bucles de redirección de 302 o estado de sesión perdido o que falte.
Causa
Las características de ASP.Net para el estado de sesión, la identificación anónima y la autenticación de formularios se basan en la emisión de tokens a un cliente web y todos permiten la opción de que esos tokens se entreguen en una cookie o se inserten en el URI para los clientes que no admiten cookies. La inserción de URI ha sido durante mucho tiempo una práctica insegura y no corregida y este KB deshabilita silenciosamente la emisión de tokens en uri a menos que una de estas tres características solicite explícitamente un modo de cookie de "UseUri" en la configuración. Las configuraciones que especifican "AutoDetect" o "UseDeviceProfile" pueden dar como resultado involuntariamente la inserción tentativa y no correcta de estos tokens en el URI.
Solución alternativa
Este problema se ha resuelto en KB4601055.
Cómo obtener esta actualización
Instalar esta actualización
|
Canal de publicación |
Disponible |
Siguiente paso |
|
Windows Update y Microsoft Update |
Sí |
Ninguna. Esta actualización se descargará e instalará automáticamente desde Windows Update. |
|
Catálogo de Microsoft Update |
Sí |
Para obtener el paquete independiente para esta actualización, vaya al sitio web catálogo de Microsoft Update. |
|
Windows Server Update Services (WSUS) |
Sí |
Esta actualización se sincronizará automáticamente con WSUS si configura Productos y clasificaciones del modo siguiente: Producto:Windows 10, versión 1809 y Windows Server, versión 2019 Clasificación: actualizaciones de seguridad |
Información de archivo
Para obtener una lista de los archivos que se proporcionan en esta actualización, descargue la información de archivo para la actualización acumulativa.
Información adicional acerca de esta actualización
En los siguientes artículos podrá encontrar información adicional sobre esta actualización relacionada con las versiones de productos individuales.
-
4579976 Descripción de la actualización acumulativa para .NET Framework 3.5 y 4.7.2 para Windows 10 versión 1809 para ARM64 (KB4579976)
Información sobre protección y seguridad
-
Protéjase en línea: Soporte técnico de Seguridad de Windows
-
Obtenga información sobre cómo le protegemos frente a amenazas cibernéticas: Seguridad de Microsoft
